Dateilose Schadsoftware

Fileless Malware eine neue Bedrohung?

| Autor / Redakteur: Ralph Dombach / Peter Schmitz

Es gibt fileless Malware, die nur im RAM liegt, solche bei der zwar der Infektionscode im RAM existiert, ein nachgeladener Exploit aber im Dateisystem vorhanden ist und weitere Varianten.
Es gibt fileless Malware, die nur im RAM liegt, solche bei der zwar der Infektionscode im RAM existiert, ein nachgeladener Exploit aber im Dateisystem vorhanden ist und weitere Varianten. (Bild: Pixabay / CC0)

Schadsoftware ist immer besser zu managen und die jahrelangen Anstrengungen der Security-Industrie machen sich endlich bemerkbar. Doch am Horizont taucht eine neue Bedrohung auf, die alles über den Haufen werfen könnte: Fileless Malware

Fileless Malware (FM) hat den Nimbus, einer wirklich fiesen IT-Attacke! Denn anders als bei klassischer Malware lässt sich FM deutlich schwerer entdecken. Normale Malware nistet sich in Dateien auf der Festplatte eines Systems ein und kann dort von einem Antivirus-Tool entdeckt und bekämpft werden. Aber bei FM, die nur Arbeitsspeicher agiert oder in anderen schwer überprüfbaren Bereichen ist die Antivirus-Software oft machtlos. Vor allem dann, wenn FM, wie heute üblich, in tausenderlei Gestalt existiert (Polymorphismus ) und bei jedem Reboot des attackierten Systems aus dem RAM gelöscht wird.

Dateilose Malware?

Die Deutschsprachige Übersetzung von Fileless zu „Dateilose“ Malware ist etwas unglücklich gewählt. Denn im Segment der FM sind diverse Varianten möglich. Es gibt Malware, deren Infektionsprogrammcode nur im RAM existiert, während ein nachgeladener Exploit dann im Dateisystem vorhanden ist. Es gibt aber auch FM die sich in der Registry sehr wohl fühlt, wobei aber die Registry letztendlich auch eine (System-)Datei ist. Auch reine RAM-FM wie Poweliks ist im Segment vertreten.

FM ist keine neue Bedrohung. Poweliks beispielsweise wurde bereits im August 2014 entdeckt. Die Malware checkt zunächst ob Windows PowerShell installiert ist (Wenn nicht, wird dies automatische nachinstalliert) und erstellt dann per API-Call “ZwSetValueKeyder“ einen NULL-Autostart-Eintrag in der Registry. Dieser Eintrag hat keinen „Namen“, und ist daher für den normalen Anwender unsichtbar, wird aber bei einem Systemstart ausgeführt.

Dabei wird ein Code aktiviert, der weitere Manipulationen vornimmt und letztendlich via DLLHOST.EXE weitere Schadsoftware ausführt.

Auch Bedep und die Kotver-Familie sind weitere Vertreter im Segment FM. Beide dienen als Türöffner, die dann die eigentliche Schadsoftware, z.B. Exploit-Kits wie Angler nachladen.

Wenig Samples

CoinVault, Crigent (aka PowerWorm), PhaseBot, PowerSniff, USB Thief, XseKit sind einige der bekannteren FM-Vertreter, deren Aufstieg 2013/2014 begann und Ende 2015 seinen vorläufigen Höhepunkt erreichte. Aktuell ist es eher ruhig geworden um FM und die Gründe dafür sind vielschichtig.

Zum einen ruhen sich Security-Unternehmen und Produkt-Hersteller nicht auf Ihren Lorbeeren aus, sondern versuchen ständig Lücken (Vulnerabilities) zu schließen und Ihre Produkte besser zu machen. Davon betroffen ist u.a. die Benutzerkontensteuerung bei Windows (UAC ), die Vergabe von Privilegien Skriptsprachen (Javascsript, PowerShell…) und auch die Funktionen von WebBrowser Controls.

Anderseits wird heutzutage der Datenstrom besser kontrolliert und so lässt sich FM abfangen, bevor sie den Endpoint attackieren kann. Wobei Anwender, die (unbewusst) Security-Kontrollen umgehen, indem Sie z.B. einen USB-Speicherstick von einer Veranstaltung oder aus dem heimischen Umfeld mitbringen, wieder eine Schwachstelle im Kontrollsystem schaffen.

Letztendlich ist es aber auch technisch anspruchsvoller, dateilose Schadsoftware zu erstellen, der es gelingt sich an allen verbesserten Kontrollinstanzen vorbei zu schmuggeln. Doch dank unvorsichtiger Anwender, ungesicherter Systeme, überalterter Konzepte und anderer Schwachstellen, gibt es einfacher Wege mit Malware erfolgreich zu agieren. Weshalb sollten sich Cyberkriminelle also die Mehrarbeit machen?

Keine Zukunft für FM

Ist Fileless Malware tot? Nein, definitiv nicht. Der „Proof Of Concept “ wurde erbracht und FM hat gezeigt, dass sich immer wieder neue, andere Infiltrationswege in ein System ergeben. Malware und Cyberkriminelle agieren dynamisch – feste Regeln und Normen sind nicht üblich.

Mal wird dies Verfahren genutzt, mal ein anders. Derzeit genießen Makro-Viren wieder mehr Aufmerksamkeit, nachdem dieses alte Infektionsverfahren eine länger „Pause“ hatte.

Für die Praxis bedeute dies, dass Sicherheitsverantwortliche trotzdem dateilose Malware im Auge und Maßnahmenkatalog behalten sollten. Dazu zählt z.B.:

  • 1. Security-Updates für das Betriebssystem und die Applikationen einsetzen
  • 2. Web-Blocking für WebSeiten die Exploit Kit‘s hosten oder bekannte C&C-Server sind
  • 3. Unterbinden von C&C-Kommunikation und Download der Malware-Payload
  • 4. Security-Settings für Skriptsprachen & Office-Anwendungen verschärfen
  • 5. Verifizieren der Virenscanner-Optionen und aktivieren Anti-FM-Funktionen
  • 6. Stichprobenartige Überprüfung von Einzelsystemen und einzelnen User-Kennungen (Rechte)

Eine Umsetzung dieser Empfehlungen ist ratsam, denn FM hat auch einige unangenehme Seiteneffekte.

Beweissicherung

Cyber-Versicherungen sind derzeit ein Thema, welches über Unternehmen zunehmend auch im privaten Umfeld Fuß fassen wird. Ein Aspekt, der spätestens bei größeren Schadenssummen wichtig wird, ist die Beweissicherung.

IT-Risiken vorbeugen, IT-Schäden begrenzen

Cyberversicherungen

IT-Risiken vorbeugen, IT-Schäden begrenzen

05.12.16 - Daten gelten heute als Rohstoff des 21. Jahrhunderts. Ihren hohen Wert haben längst auch Internetkriminelle erkannt – das Risiko von Cyberattacken für deutsche Unternehmen steigt zunehmend. Im Schadensfall entstehen rasch Verluste in Millionenhöhe. Wie lassen sich diese begrenzen und was leisten Cyberversicherungen? lesen

IT-Forensiker und Schadensgutachter werden bei dateiloser Malware auf Probleme stoßen, diese verwertbar zu sichern. Technisch kann man den Arbeitsspeicher eines Systems als Speicherdump erstellen! Aber was passiert, wenn die dateilose Malware der nächsten Generation sich dagegen wehrt?

Der Verteidigungsgedanke ist nicht neu – manche Malware wird beispielsweise nur dann aktiv, wenn sie NICHT in einem virtuellen Umfeld läuft. Denn ein VM-System, so die Annahme, könnte das Test-System eines Analysten sein, also bleibt die Malware inaktiv und tut so als wäre sie „guter Code“.

Der Schritt für dateilose Schadsoftware, sich auch gegen das Auslesen von Speicherbereichen zu wehren ist technisch nicht weit entfernt – denn Schadsoftware geht immer öfter dazu über, sich selbst zu verteidigen! Aber ohne aussagekräftige Beweissicherung wird die Cyber-Versicherung problematisch.

Fazit

Derzeit ist es ruhig um fileless Malware, aber die Bedrohung kann schnell wieder am Horizont sichtbar werden, besser ausgerüstet und technisch versierter als in den ersten Proof-Of-Concept-Versionen. Dann, könnte sich die dateilose Malware wirklich zu einer massiven Security-Bedrohung entwickeln.

Sprechen Sie mit den Herstellern Ihr Security-Software und fragen Sie nach Features gegen FM, denn der beste Schutz ist derjenige, der verhindert, dass Malware das eigentliche Ziel-System erreicht.

Kommentare werden geladen....

Kommentar zu diesem Artikel

Der Kommentar wird durch einen Redakteur geprüft und in Kürze freigeschaltet.

Anonym mitdiskutieren oder einloggen Anmelden

Avatar
Zur Wahrung unserer Interessen speichern wir zusätzlich zu den o.g. Informationen die IP-Adresse. Dies dient ausschließlich dem Zweck, dass Sie als Urheber des Kommentars identifiziert werden können. Rechtliche Grundlage ist die Wahrung berechtigter Interessen gem. Art 6 Abs 1 lit. f) DSGVO.
  1. Avatar
    Avatar
    Bearbeitet von am
    Bearbeitet von am
    1. Avatar
      Avatar
      Bearbeitet von am
      Bearbeitet von am

Kommentare werden geladen....

Kommentar melden

Melden Sie diesen Kommentar, wenn dieser nicht den Richtlinien entspricht.

Kommentar Freigeben

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

Freigabe entfernen

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

copyright

Dieser Beitrag ist urheberrechtlich geschützt. Sie wollen ihn für Ihre Zwecke verwenden? Infos finden Sie unter www.mycontentfactory.de (ID: 44438638 / Malware)